TigerTeam - suomalainen tietoturvablogi

Monelle kauppiaalle helpoin tapa saavuttaa PCI DSS -yhdenmukaisuus on siirtyminen päästä päähän salaaviin maksupäätteisiin. Oikein valituin tuottein ja integrointiratkaisuin PCI DSS -laajuus jää tällöin maksupäätteisiin ja kauppiasta koskee enää vain muutama PCI DSS -vaatimus.

Julkaisimme mm. päästä päähän salaavan maksupääteratkaisun hyötyjä käsittelevän suomenkielisen white paperin joulukuussa.

Usein maksupääteratkaisu rakennetaan entisen magneettijuovakortteja lukevan ratkaisun tilalle. Vanha ratkaisu on saattanut tallentaa eri järjestelmiin tuhansia maksukorttitietoja – näistä tiedoista iso osa voi olla uratietoja, joita PCI DSS:n mukaan ei saa tallentaa laisinkaan. Syy siihen, että uratietoja on tallennettu on aikaisemmissa ohjeissa, jotka edellyttivät tätä. Lisäksi kauppiaalle on saattanut syntyä mittava kuittivarasto sellaisista kuiteista, joissa koko korttinumero näkyy.

Jotta kauppias saavuttaisi PCI DSS -yhdenmukaisuuden, kaikki vanha maksukorttitieto tulee joko poistaa tai tallentaa asiallisesti. Magneettisella medialla oleva uratieto pitää tuhota ja tallennetut korttinumerot tulee joko tuhota tai salata. Kauppiaskuiteilla olevat korttinumerot tulee osittain säilyttää ja osittain tuhota.

Kirjanpitolaki ei edellytä korttimaksutapahtuman kauppiaskuitin säilyttämistä, jos ostotapahtumasta on jokin muu luotettava tosite. Maksupalvelulaki edellyttää korttimaksutapahtuman kauppiaskuitin säilytystä 18 kuukauden ajan.

PCI-standardi ottaa kantaa kuittien käsittelyyn

Korttinumerollisia kuitteja koskevat useat PCI DSS -vaatimukset:

• Kuitit tulee säilyttää fyysisesti suojattuina

• Kuitit on inventoitava säännöllisesti

• Tarpeettomat kuitit tulee tuhota

Tälle kaikelle tulee laatia prosessit ja lisäksi vielä ongelmatilanteita – kuten kuittien katoamista varten – tulee laatia omat prosessinsa.

Koska uudet päästä päähän salaavat maksupäätteet eivät tulosta kauppiaskuitille koko korttinumeroa, PCI DSS:n alaisten kuittien määrä vähenee jatkuvasti ja putoaa nollaan 18 kuukauden kuluttua maksupäätteiden käyttöönoton jälkeen.

Kassat ja kassapalvelimet sisältävät lähes varmasti sekä uratietoa että korttinumeroita. Hyvin useat kassaratkaisut ovat tallentaneet koko elinkaarensa ajan kaikki lukemansa korttitiedot levylle ja sieltä löytyvä korttitiedon määrä voi olla hyvinkin merkittävä. Ura- ja korttitietoa löytyy tietokannoista, tilapäistiedostoista, lokitiedostoista, debug-tiedostoista sekä varaamattomasta tilasta levyn pinnalta.

Hyvin usein varmin ja edullisin ratkaisu vanhan korttitiedon poistamiselle on levyjen päällekirjoitus joko kaupallisella tuotteella (esim. Blancco) tai open source -tuotteella (esim. DBAN).

Mikäli levyjä ei ole mahdollista tyhjentää kokonaan, levyllä oleva ura- ja korttitieto tuleekin löytää ja sille tulee laatia käsittelysuunnitelma. Useimmiten suunnitelmaksi riittää tiedon tuhoaminen, mutta joskus tallennetut korttinumerot täytyy liiketoimintasyistä säilyttää. Mikäli korttinumeroita säilytetään, ne tulee salata.

Väärät hälytykset korttinumerometsästyksessä yleisiä

Ura- ja korttitiedon löytäminen on haasteellinen tehtävä. Korttinumero on säännöllisen muotoinen ja siinä on Luhn-algoritmiin pohjautuva tarkistussumma, joten päältä katsoen löytämisessä ei pitäisi olla mitään ongelmia. Osittain näin onkin eli työkalut, jotka etsivät levyltä ja tiedostojärjestelmistä säännöllisillä lausekkeilla (regular expression) korttitietoja, löytävät kyllä kaikki korttitiedot, mutta mukana tulee hyvin usein samanmoinen tai jopa isompi saalis vääriä positiivisia. Löydökset vaativatkin runsaasti jatkokäsittelyä, jotta voidaan varmistua siitä, että kyseessä on todellinen korttinumero tai uratieto.

Aitojen löydösten perusteella voidaan laatia poistosuunnitelma, johon tulee kuulua poistetavan tiedon päällekirjoitus jollain ohjelmalla. Suunnitelma tulee testata ja testauksen yhteydessä levyltä tulee etsiä uudelleen korttitieto. Mikäli mitään ei enää löytynyt, suunnitelman mukaiset toimenpiteet voidaan tehdä kaikille puhdistettaville järjestelmille.

Kassojen ja kassapalvelinten varmistusnauhat (tai muut varmistusmediat) sisältävät pääsääntöisesti samat tiedot kuin varmistetut laitteet. Varmistusmediat on syytä tuhota, jos se vain on mahdollista. Mikäli lainsäädäntö tai liiketoimintasyyt pakottavat varmistusmedian säilytykseen säilytysprosessista ei ole mitenkään mahdollista saada PCI DSS:n mukaiseksi. Tällaisessa tapauksessa säilytystä varten on laadittava kompensoiva menettely. Tyypillisesti kompensoiva menettely on varmistusmedian säilytyksen korkea fyysinen turvallisuus.